# apps/users/permissions.py
from rest_framework import permissions

class IsOwnerOrReadOnly(permissions.BasePermission):
    """
    自定义权限：仅允许创建者编辑或删除对象
    其他人只能读
    """

    def has_object_permission(self, request, view, obj):
        # 安全方法（GET, HEAD, OPTIONS）允许所有人
        if request.method in permissions.SAFE_METHODS:
            return True

        # 写操作：必须是创建者
        return obj.creator == request.user